Лекции Толстого / Толстой риски
.pdfнеобходимые сроки, согласованные с руководством организации. Эффективное управление непрерывностью бизнеса зависит от управления непрерывностью ИКТ, чтобы гарантировать, что организация всегда способна достичь своих целей, особенно в моменты сбоя.
22. В чем может заключаться различие между требованиями к системам управления непрерывностью бизнеса и к процессу управления непрерывностью бизнеса?
Различие может заключаться в том, что требования к системам управления непрерывностью бизнеса устанавливает то, как и какие именно процессы процессы происходят в системе в случае инцидентов и нарушения ее деятельности, а требования к процессу управления непрерывностью бизнеса устанавливают как происходит процесс, что подается на вход и что получается на выходе
_____________________________________________________________________________
__
Непрерывность бизнеса (НБ): стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности бизнес-операций на установленном приемлемом уровне (англ. business continuity).
Системой управления называют систему, в которой реализуются функции управления. Она объединяет управляющую систему и систему связи.
Главные вопросы, стоящие перед системой управления, – чем (объект управления) и как (технологии и инструменты) управлять.
Процессы управления (менеджмента), относящиеся к стратегическому планированию, постановке целей и установлению политик, обеспечению коммуникаций и т.п. Назначение процесса – управление деятельностью организации; результат – деятельность всей организации. По своей природе управленческие задачи являются информационными
23. Каковы основные цели следования модели PDCA при построении процесса управления инцидентами ИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК ТО 18044?
Целями следования этой модели является обеспечение уверенности в том, что:
·события и инциденты ИБ выявляются и обрабатываются эффективным образом, в особенности в части классификации событий ИБ;
·выявленные в организации инциденты ИБ учитываются и обрабатываются наиболее подходящим и эффективным для них образом;
·последствия инцидентов ИБ могут быть минимизированы в процессе реагирования на инциденты, возможно с привлечением процессов ОНБ;
·за счет анализа событий и инцидентов ИБ повышается вероятность предотвращения инцидентов в будущем, улучшаются механизмы и процессы ОИБ.
24.Какие тенденции характерны для развития стандартизации управления ИБ в Российской Федерации?
Дальнейшее развитие стандартов серии 27000 включает в себя появление стандартов, более подробно раскрывающих требования к отдельным процессам управления ИБ. Базируясь на единой структуре и методологии, заложенной в ISO/IEC 27001:2005, они предоставляют руководства по управлению ИБ для различных сфер деятельности, включая финансовый и страховой сектор, здравоохранение, телекоммуникации и т.д.
25. В чем состоят преимущества использования «отраслевых» стандартов на СУИБ по сравнению, например, со стандартом ISO/IEC 27001, требования которого применимы к любой организации независимо от отрасли или сферы деятельности?
Отраслевые стандарты объединяют уже накопленный опыт в сфере управления информационной безопасностью с хорошо зарекомендовавшими себя практиками менеджмента, которые подробно расписаны в других стандартах серии ISO.
Стандарты разрабатываются с учетом требований мирового опыта и специфики отрасли.
Отраслевые стандарты чаще обновляются, что позволяет улучшить ОИБ. Также в таких стандартах отмечены детально моменты, которые являются важными в конкретной сфере.
26. Каково значение стандартов серии СТО БР ИББС в рамках развития стандартизации управления ИБ в России?
Деятельность организаций банковской сферы находится под пристальным вниманием злоумышленников. Банки ежедневно сталкиваются с инцидентами ИБ и несут ощутимые потери от нарушения ИБ их активов, что приводит к нарушению их основных бизнес-процессов. Таким образом, решение проблем ОИБ относится к актуальным задачам для организаций банковской системы (БС) Российской Федерации (РФ).
В БС РФ входят следующие Центральный банк Российской Федерации (Банк России), кредитные организации и их филиалы, а также представительства иностранных банков.
Особую роль в БС РФ играет Банк России. Целями функционирования Банка России является развитие и укрепление БС РФ, обеспечение эффективного и бесперебойного функционирования платежной системы РФ. Важнейшее условие реализации этих целей: обеспечение необходимого и достаточного уровня ИБ, который во многом определяется уровнем ИБ банковских технологических процессов (платежных, информационных) и автоматизированных банковских систем (АБС), поддерживающих эти процессы.
Негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса всей платежной системы РФ. Поэтому для организаций БС РФ угрозы ИБ их информационным активам и их реализация в виде инцидентов ИБ представляют реальную опасность.
Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционные, кредитные и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ, который необходимо сохранить в течение длительного времени. По этим причинам ОИБ для организаций БС РФ – один из основополагающих аспектов их деятельности. Упорядочение их функционирования возможно за счет разработки и внедрения комплекса нормативных документов, а также контроля за полнотой выполнения требований, сформулированных в этих документах.
27. Какие аспекты регламентируют стандарты серии СТО БР ИББС, если говорить об управлении ИБ?
Стандарт СТО БР ИББС-1.0 является базовым для Комплекса документов Банка России ИББС. С момента выхода в 2004 г. первой редакции стандарт
претерпел ряд изменений и постоянно обновляется по результатам его применения. В настоящее время действует четвертая редакция стандарта.
В СТО БР ИББС-1.0–2010 СУИБ, называемая в стандарте СМИБ, определяется как часть менеджментаорганизации БС РФ, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования СОИБ.
СОИБ организации БС РФ – совокупность ее СМИБ и системы ИБ (СИБ). СИБ, в свою очередь, это совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.
Процессы СМИБ сгруппированы в виде циклической модели PDCA: «планирование – реализация –проверка – совершенствование».
28. Каковы основные цели и задачи стандартизации по ОИБ организаций БС РФ?
Основные цели стандартизации ОИБ организацийБС РФ:
1.Повышение доверия к БС РФ.
2.Повышение стабильности функционирования организаций БС РФ и на этой основе – стабильности функционирования БС РФ в целом.
3.Достижение адекватности мер по защите от реальных угроз ИБ.
4.Предотвращение и/или снижение ущерба от инцидентов ИБ.
Основные задачи стандартизации ОИБ организацийБС РФ: 1. Установление для них единых требованийпо ОИБ.
2. Повышение эффективности мероприятийпо обеспечению и поддержанию ИБ организаций.
29.Каковы основные цели проведения аудита ИБ организаций БС РФ?
ВБС РФ входят следующие Центральный банк Российской Федерации (Банк России), кредитные организации и их филиалы, а также представительства иностранных банков.
Основным из видов проверки уровня ИБ является аудит ИБ –
систематический, независимый и документируемый процесс получения свидетельств аудита деятельности организации по ОИБ и установления степени выполнения в организации установленных критериев аудита ИБ, проводимый внешней по отношению к проверяемой независимой проверяющей организацией.
Основными целями аудита ИБ как важнейшего процесса в непрерывном цикле процессов управления ИБ организации являются:
•повышение доверия к этим организациям;
•оценка соответствия ИБ организаций критериям аудита ИБ, установленным согласно требованиям СТО БР ИББС-1.0.
30.На основе какой методики рекомендуется проводить оценку соответствия уровня ИБ организации БС РФ требованиям стандарта СТО БР ИББС-1.0?
Полное название - Стандарт Банка России СТО БР ИББС-1.2 «Обеспечение ИБ
организаций БС РФ. Методика оценки соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0» – третья редакция введена в действие с
21.06.2010.
Стандарт Банка России СТО БР ИББС-1.2–2010 устанавливает способы определения степени выполнения и итогового уровня соответствия ИБ указанным требованиям при проведении внутренней и/или внешней оценки и самооценки ИБ. Целью данной методики является стандартизация подходов и способов оценки, используемых для определения уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.
31. Какие определения ПолИБ даются в различных международных стандартах?
Политика обеспечения информационной безопасности, политики информационной безопасности (ПолИБ) (англ. IS policy): набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. Это правила разграничения доступа, регламентирующие права доступа субъектов доступа к объектам доступа. (просто определение, возможно писать не нужно т.к. не привязано к стандарту)
•ПолИБ – набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. (Стандарт «Оранжевая книга»
(Trusted Compute System Evaluation Criteria))
•ПолИБ – правила разграничения доступа, представляющие собой совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. (Гостехкомиссия России)
•ПолИБ ИТТ (англ. ITТ security policy) – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее ИТТ управлять, защищать и распределять активы, в том числе критичную информацию. (В ГОСТ Р ИСО/МЭК 13335–1–2006)
•ПолИБ сети (англ. network security policy) определяется как документ, в рамках единой информационной инфраструктуры и СОИБ организации формально устанавливающий правила доступа к ее компьютерной сети, на основе которых пользователи этой сети (сотрудники
ибизнес-партнеры организации) накапливают, применяют и распоряжаются ее активами. (в
различных англоязычных стандартах)
ОПЦИОНАЛЬНО:
В международных и российских стандартах и руководящих документах ПолИБ в основном определяется как ПолИБ организации:
·совокупность требований и правил по ОИБ для объекта ИБ, выработанных в соответствии с требованиями руководящих и нормативных документов в целях противодействия заданному множеству угроз ИБ, с учетом ценности защищаемой информационной сферы и стоимости СОИБ (Гостехкомиссия России. «Информационная безопасность и защита информации». Сборник терминов и определений. М., 2001.)
·документированные решения в области ОИБ (ГОСТ Р ИСО/МЭК 27005–2010
«Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». М.: Стандартинформ, 2011.)
·совокупность (одно или несколько) документированных правил, процедур, практических приемов в области безопасности, которыми руководствуется организация в своей деятельности (ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения». М.: Стандартинформ, 2008.), (ГОСТ Р ИСО/МЭК 15408–1–2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Введение и общая модель». М.: Стандартинформ, 2009.)
·совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности (ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения». М.: Стандартинформ, 2008.)
·формальная спецификация правил и рекомендаций, на основе которых пользователи используют, накапливают и распоряжаются информационными ресурсами и технологическими ценностями (Рекомендации в области стандартизации Банка России РС БР ИББС-2.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций БС РФ требованиям СТО БР ИББС-1.0».)
·одно или несколько правил, процедур, практических приемов в области безопасности, которыми руководствуется организация в своей деятельности. (ISO/IEC 15408– 2:2008 «The Common Criteria for Information Technology Security Evaluation. Security functional components».)
32. В чем различие политик, стандартов, правил и процедур ОИБ?
ПолИБ в широком смысле определяется как система документированных управленческих решений по ОИБ организации.
ПолИБ в узком смысле – отдельный нормативный документ, определяющий требования безопасности, систему мер и/или порядок действий, а также ответственность сотрудников организации и средства управления для определенной области ОИБ.
Политика информационной безопасности (ПолИБ) (англ. IS policy): набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. Это правила разграничения доступа, регламентирующие права доступа субъектов доступа к объектам доступа.
Стандарт (англ. sta ndard) представляет собой правило, указывающее конкретное направление действий или ответную реакцию на данную ситуацию. Стандарты являются директивными указаниями (директивами), которые должны выполняться в соответствии с политиками и которые используются для определения соответствия этим политикам. Стандарты служат спецификациями для осуществления политик. Стандарты разработаны в целях содействия осуществлению высокоуровневой политики организации.
При разработке стандартов используются лучшие практики, накопленные в данной области. Тоже самое относится и к процедурам.
Процедуры (англ. procedures) определяют конкретно, как политики, стандарты будут реализованы в данной ситуации. Процедуры – это технологии или процессы, зависимые от и имеющие отношение к конкретным платформам, приложениям или процессам. Они используются для выработки шагов, которые должны быть предприняты на организационном уровне для ОИБ отдельных систем и процессов. Процедуры, как правило, разработаны, реализованы и обеспечены организацией, владеющей процессом или системой. С целью обеспечения конкретных технических или процедурных требований внутри организации, где они применяются, процедуры как должны можно точнее поддерживать организационные политики, стандарты руководства. Примеры процедур: сертификация и аккредитация, оценка рисков ИБ, обнаружение вторжений, тесты на проникновение, реагирование на чрезвычайные ситуации, восстановление после аварий, резервирование, реагирование на инциденты ИБ.
Руководства (руководящие |
принципы, |
директивы) (англ. guidelines) содержат рекомендации |
по тому, как должны |
выполняться другие требования. Они уточняют, что должно быть сделано и как с целью достижения целей, установленных в ПолИБ. Руководство является общим заявлением, используемым в качестве рекомендации или предлагающим подход
косуществлению политики и стандартов, например, при ОИБ
33.Что такое трастовые модели?
Трастовые модели (модели доверия) - модели, имеющие дело с предположениями, ожиданиями и поведением (модели, при которых «всего должно быть в меру, в том числе доверия и недоверия»).
Трастовые модели - основа Политики ИБ
Три вида трастовых моделей:
1.Либеральная: доверять всем и всегда
2.Запретительная: не доверять никому и никогда
3.Компромиссная: доверять некоторым иногда и степень доверия периодически пересматривать.
34.С каких точек зрения и как можно описать виды ПолИБ?
Всовременной практике ОИБ термин ПолИБ может употребляться как в широком, так и в узком смысле [86].
ПолИБ в широком смысле определяется как система документированных управленческих решений по ОИБ организации.
ПолИБ в узком смысле – отдельный нормативный документ, определяющий требования безопасности, систему мер и/или порядок действий, а также ответственность сотрудников организации и средства управления для определенной области ОИБ.
Также различают:
1) корпоративную ПолИБ – ПолИБ организации в целом; такие политики называют также ПолИБ верхнего, или программного, уровня (англ. program-level)
[86]; |
|
|
|
2) частные ПолИБ [9] или |
ПолИБ по конкретным |
вопросам или |
|
проблемам (англ. issue-specific) |
или ПолИБ |
по |
конкретным |
системам (англ. system-specific) [87], ориентированная на отдельную область ОИБ или технологию, используемую в организации/ее подразделении. Например, это ОНБ (в части, касающейся ИБ), ОИБ телекоммуникационных систем и сервисов, антивирусная защита, доступ в Интернет, использование средств криптографической защиты и т.д. В них формулируются требования на создание и эксплуатацию СЗИ, организацию информационных и бизнес-процессов
организации по конкретному направлению ОИБ. |
|
|
||
Примечание: |
Согласно [9] частная |
ПолИБ – |
это |
документация, |
детализирующая положения ПолИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации. Таким образом, частные ПолИБ являются составляющими корпоративной ПолИБ организации, поскольку конкретизируют ее, а отдельная частная ПолИБ – это ПолИБ в узком смысле.
3) ПолИБ подразделений организации; могут даже создаваться ПолИБ для
отдельных |
пользователей (роли/должности) или |
для |
группы |
пользователей внутри организации или за ее пределами |
(для |
партнеров, |
|
клиентов, аудиторов и т.п.).
35. Что понимают под ПолИБ в широком и узком смыслах?
ПолИБ в широком смысле определяется как система документированных управленческих решений по ОИБ организации.
ПолИБ в узком смысле – отдельный нормативный документ, определяющий требования безопасности, систему мер и/или порядок действий, а также ответственность сотрудников организации и средства управления для определенной области ОИБ.
36. Для чего разрабатываются организационные (административные) и технические ПолИБ?
Административная или организационная ПолИБ (англ. organisational security policy) и есть ПолИБ в выше определенном понимании. Она обычно излагается в документах трех уровней. Документы верхнего уровня носят общий характер и определяют ПолИБ для организации в целом. Второй уровень выделяют в случае структурной сложности организации или при необходимости обозначить специфичные области деятельности, подразделения, технологии, подсистемы и т.п. Третий уровень относится к конкретным службам или подразделениям организации и детализирует верхние уровни ПолИБ. На данном уровне определяются конкретные цели, частные критерии и показатели ИБ, задаются права групп пользователей, формулируются условия доступа к информации, выводятся правила ОИБ и т.п.
Техническая ПолИБ (англ. technical security policy) – совокупность законов, правил и практических методов, регулирующих обработку чувствительной информации и использование ресурсов ПО и АО ИС.
Техническая ПолИБ базируется на правилах двух видов:
а) первая группа связана с заданием правил разграничения доступа ко всем информационным ресурсам организации;
б) вторая – основана на правилах анализа сетевого трафика как внутри интранета, так и при его выходе или входе из интранета.
В основе этих правил лежит принцип доверия – пользователям, приложениям, процессам, БД, файлам и т.п. Поэтому определяя техническую ПолИБ, нужно установить, насколько можно доверять людям и информационным ресурсам, поскольку возможны атаки с подменой («маскарадом») ресурсов
(англ. spoofing).
37. Перечислите основные требования, предъявляемые в различных источниках к ПолИБ?
ПолИБ должна быть:
•обязательно согласована с общепризнанными основами теории ИБ, со всеми существующими нормативными и правовыми документами, соблюдение которых требуется от организации в стране ее функционирования, а также директивами, законами, приказами и общими задачами самой организации;
•интегрирована в общую политику организации и согласована с другими политиками (например, политикой приема/найма на работу);
•краткой (лучшие практики указывают на объем не более 10 страниц), простой для понимания и не допускать двойного толкования ее положений;
•наглядной. Это способствует ее эффективной реализации, помогая гарантировать ее знание и понимание всеми сотрудниками организации. Видеофильмы, семинары, статьи во внутренних изданиях организации или на ее внутреннем веб-узле увеличивают такую наглядность;
•надлежащим образом доведена в доступной и понятной форме до сведения всех сотрудников организации, с которой они должны ознакомиться чаще всего под расписку. Программа обучения в области ИБ и контрольные проверки действий в тех или иных ситуациях могут достаточно эффективно демонстрировать всем пользователям действенность соблюдения ПолИБ;
•реализуема (т.е. содержать только те положения, которые могут быть реализованы на практике), а ее реализация контролируема;
•утверждена высшим руководством организации и издана.
Также ПолИБ должна:
•обеспечивать разумный баланс между защитой и при этом не влиять на эффективность работы сотрудников организации, т.е. не снижать результативность их работы;
•устанавливать ответственность руководства и излагать подход организации к управлению ИБ;
•регулярно (через запланированные промежутки времени, по графику) анализироваться. Анализ должен включать в себя оценивание возможностей для улучшения ПолИБ и подходов к управлению ИБ в ответ на изменения в окружении организации, бизнес-обстоятельствах, юридических условиях или в технической среде. Анализ ПолИБ должен учитывать результаты ее анализа со стороны руководства;
•регулярно пересматриваться и модифицироваться (особенно в случае возникновения значительных изменений в текущем развитии организации) согласно разработанной заранее процедуре. Периодические пересмотры должны включать проверку соответствия ПолИБ актуальной законодательной базе, оценку ее эффективности, исходя из характера, числа и последствий зарегистрированных инцидентов ИБ, определение стоимости мероприятий по управлению ИБ и их влияние на бизнес, анализ влияния изменений в технологиях на деятельность организации. Такая процедура должна обеспечивать осуществление пересмотра ПолИБ в соответствии с изменениями, затрагивающими первоначальную оценку рисков ИБ, например, путем выявления существенных инцидентов ИБ, появление новых уязвимостей или изменения организационной или технологической инфраструктуры организации. Пересмотр и модификация ПолИБ обеспечивает ей адекватность и результативность. Пересмотренная
ПолИБ должна быть утверждена руководством.
Должно быть назначено ответственное за ПолИБ должностное лицо, которое отвечает за ее реализацию и пересмотр в соответствии с установленной процедурой.
При распространении ПолИБ за пределы организации следует позаботиться о том, чтобы не раскрыть важную (конфиденциальную, критичную) информацию (англ. sensitive information), потеря, раскрытие или уничтожение которой по тем или иным причинам нежелательны для бизнеса или её владельца.
38. Каковы основные принципы, позволяющие разработать эффективную ПолИБ?
В разрабатываемой ПолИБ обязательно должны быть отражены определенные принципы, которыми целесообразно руководствоваться при ее использовании и поддержании ИБ в организации на требуемом уровне. В таблице сформулированы соответствующие принципы и отражены ожидаемые результаты их реализации.
|
Принцип |
|
Ожидаемый результат от реализации |
|||||
|
|
|
принципа |
|
|
|
|
|
|
Законность |
|
Осуществление |
защитных |
мер |
в |
||
|
|
|
соответствии |
с |
действующим |
|||
|
|
|
законодательством в области ИБ, другими |
|||||
|
|
|
нормативными актами по ОИБ, утвержденных |
|||||
|
|
|
органами |
государственной |
власти, |
с |
||
|
|
|
применением всех |
дозволенных |
методов |
|||
|
|
|
обнаружения и пресечения правонарушений. |
|||||
|
Определенность |
|
Обеспечение реализуемости ПолИБ. |
|
||||
целей, |
|
|
|
|
|
|
|
|
сформулированных |
в |
|
|
|
|
|
|
|
ПолИБ |
|
|
|
|
|
|
|
|
|
Системность |
|
Учет |
всех |
взаимосвязанных |
и |
||
|
|
|
изменяющихся во времени элементов, |
|||||
|
|
|
условий и факторов, значимых для |
|||||
|
|
|
поддержания ИБ в организации, включая все |
|||||
|
|
|
объекты защиты и направления нарушений |
|||||
|
|
|
ИБ, уязвимости используемых систем, |
|||||
|
|
|
высокую |
квалификацию злоумышленника |
и |
|||
|
|
|
т.п. |
|
|
|
|
|
|
Комплексный |
|
Учет |
правовых, |
технических, |
|||
(мультидисциплинарный) |
административных, |
организационных, |
||||||
подход к разработке |
учебных, коммерческих и функциональных |
|||||||
ПолИБ |
|
вопросов. |
|
|
|
|
|
|
|
Научная |
|
Реализация |
защитных |
мер |
на |
||
обоснованность |
и |
современном уровне развития науки и |
||||||
техническая |
|
техники для достижения заданного уровня |
||||||
реализуемость |
|
ИБ, соответствующего установленным нормам |
||||||
защитных мер |
|
и требованиям по ОИБ. |
|
|
|
|||
|
Эшелонированност |
Затруднение действий злоумышленника |
||||||
ь |
(многоуровневость) |
(злоумышленник для взлома системы должен |
||||||
обороны (англ. defence |
in |
владеть |
разнообразными |
знаниями |
и |
|||